Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Cross Site Scripting en servidores BEA WebLogic

Cross Site Scripting en servidores BEA WebLogic

Por Deja un comentario

Se ha detectado una vulnerabilidad en WebLogic que posibilita a un
atacante la construcción de ataques de Cross Site Scripting.

WebLogic es un servidor de aplicaciones de la empresa BEA Systems,
especialmente indicado para entornos dirigidos al comercio
electrónico. Lo que añade a esta vulnerabilidad un peligro adicional.

El problema reside en que determinados parámetros no se verifican
adecuadamente antes de ser devueltos al usuario. Esto puede ser
explotado para realizar los ataques de Cross Site Scripting.

Múltiples scripts de ejemplos se ven afectados por este
problema, las aplicaciones a medida también pueden estar afectadas.

Las versiones afectadas por este problema son:

BEA Systems Liquid Data 1.1
BEA Systems WebLogic Express 5.1
BEA Systems WebLogic Express 6.1
BEA Systems WebLogic Express 7.0
BEA Systems WebLogic Integration 7.0
BEA Systems WebLogic Server 5.1
BEA Systems WebLogic Server 6.1
BEA Systems WebLogic Server 7.0

Los parches para evitar este problema se encuentran disponible en
la dirección.

WebLogic Server 7.0 SP2
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar

WebLogic Integration 7.0 SP2:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR103371_WLI70SP2.zip

WebLogic Server 6.1 SP3:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp3.jar

WebLogic Integration 2.1:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip

WebLogic Server 6.1 SP2:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp2.jar

WebLogic Integration 2.1:
ftp://ftpna.beasys.com/pub/releases/security/tempPatchCR105536_WLI21SP2.zip

Parche para WebLogic Server 7.0 SP2:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp2-v2.jar

WebLogic Server 7.0
actualizar Service Pack 3 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_70sp3.jar

WebLogic Server 6.1
Actualizar a Service Pack 5 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105443_610sp5.jar

WebLogic Server 5.1
Actualizar a Service Pack 13 y aplicar el parche:
ftp://ftpna.beasys.com/pub/releases/security/CR105007_510sp13.jar

Antonio Román
roman@hispasec.com

Más información:

SECURITY ADVISORY (BEA03-36.00)
http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/SA_BEA03_36.00.jsp

BEA Systems, Inc:
http://www.bea.com

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.